ทำไมการเข้ารหัสไม่ทำลายวิธีการทำงานของเครือข่าย


8

ฉันมีความเข้าใจพื้นฐานเกี่ยวกับการทำงานของการเข้ารหัส

ความรู้ของฉันคือระดับการค้นพบ CCNAในหลักสูตรCISCO (พร้อมด้วยสิ่งอื่น ๆ เช่นSteve GibsonและLeo Laporteเรื่อง " Security Now " ในตอนต่างๆ)

คำถามของฉันคือ (คือ):

การเข้ารหัสจะไม่ทำลายแนวคิดเครือข่ายของต้นทางปลายทาง ip / mac และที่อยู่ MAC ในแพ็คเก็ต / เฟรมหรือไม่

เพราะ...

เห็นได้ชัดว่าข้อมูล "การเข้ารหัส" (คีย์) ใด ๆ สามารถส่งไปพร้อมกับข้อมูลได้ แต่นั่นจะทำลายความปลอดภัยควบคู่ไปกับสวิตช์ที่ไม่สามารถส่งข้อมูลโดยตรงและสร้างตาราง MAC บนเครือข่ายภายใน

ตอนนี้ฉันจะตั้งสมมติฐานบางอย่างกับสิ่งที่ฉันรู้ ทั้ง:

  1. สวิตช์สามารถใช้สิ่งที่อยู่ในส่วนหัวของห่อหุ้มที่อยู่ IP และ MAC ของแพ็คเก็ตรวมถึงข้อมูลที่ทราบจากการเชื่อมต่อก่อนหน้าเพื่อยกเลิกการเข้ารหัสแพ็คเก็ตที่ห่อหุ้มด้วยที่อยู่ MAC เฟรมต้นทางและปลายทาง
  2. เราเตอร์สามารถใช้สิ่งที่อยู่ในข้อมูลแพ็คเก็ต / การเชื่อมต่อก่อนหน้าเพื่อเข้ารหัสแพคเก็ตที่ห่อหุ้มด้วยที่อยู่ IP ต้นทางและปลายทาง
  3. แนวคิดทั้งหมดของการเข้ารหัสบนอินเทอร์เน็ตนั้นใช้การไม่ได้
  4. แหล่งที่มาและปลายทางของ MACs / ip ถูกส่งแบบไม่เข้ารหัสสำหรับแพ็กเก็ตที่เข้ารหัส (ถ้าเป็นกรณีนี้หมายความว่าคนที่อยู่ตรงกลางสามารถจับข้อมูลทั้งหมดบันทึกแล้วใช้เวลามากเท่าที่พวกเขาโปรดเดรัจฉานบังคับให้คีย์เพื่อยกเลิกการเข้ารหัสหรือไม่)

มิฉะนั้นสมมติฐานของฉันจะปลอมด้วยเหตุผลบางอย่าง (ทำไมพวกเขาจึงปลอม)

คำถามนี้เกิดจากความรู้ทางทฤษฎีโดยสิ้นเชิงจากการเรียนรู้หลักสูตรเหล่านี้ดังนั้นโปรดเข้าไปดูรายละเอียดให้มากที่สุดเท่าที่คุณเต็มใจอย่างแน่นอนแม้ว่าคุณจะคิดว่าคุณกำลังระบุชัดเจน ฉันขอให้เหตุผลทางวิชาการอย่างหมดจด / ความอยากรู้อยากเห็นที่รุนแรงไม่ใช่เพราะฉันมีปัญหาในทางปฏิบัติ


พวกเขาพูดถูก เฉพาะข้อมูลที่ถูกเข้ารหัส (แอปพลิเคชันเลเยอร์) และบางทีเลเยอร์การขนส่งด้วย (เมื่อตั้งค่าเซสชันแล้ว) การเข้ารหัสเลเยอร์ลิงก์ทำงานแตกต่างกัน (ดู WPA2 ฯลฯ หรือ IPsec (?)) หากคุณต้องการซ่อนที่อยู่ IP และ Mac ของคุณคุณจะต้องผ่านพร็อกซีลบข้อมูลระบุตัวตน (ที่เชื่อถือได้) หรือบางสิ่งบางอย่าง
conspiritech

คำตอบ:


5

สมมติฐาน # 4 ของคุณถูกต้องบางส่วน บ่อยครั้งในเทคโนโลยีเช่น SSL / TLS, ที่อยู่ IP และที่อยู่ MAC จะถูกส่งแบบไม่เข้ารหัส โดยเฉพาะอย่างยิ่งถ้าเราดูรูปแบบเครือข่าย OSIที่อยู่ IP เป็นส่วนหนึ่งของระดับ 3 ที่อยู่ MAC เป็นส่วนหนึ่งของระดับที่สองในขณะที่ SSL / TLS อยู่ที่ระดับ 4 เทคโนโลยีการเข้ารหัสส่วนใหญ่ทำงานเหนือระดับ 3 เพื่อให้ที่อยู่สามารถ สามารถอ่านได้โดยเราเตอร์มาตรฐานและสวิตช์

เพื่อแก้ปัญหาคนที่อยู่ในเทคโนโลยีการเข้ารหัสปัญหาระดับกลางต้องเตรียมการรับรองความถูกต้องบางอย่างก่อนที่จะเริ่มต้นและเซสชั่นการเข้ารหัส ในตัวอย่าง SSL / TLS การใช้ใบรับรองซึ่งจัดทำโดยผู้ออกใบรับรองที่เชื่อถือได้ (เช่น Verisign) จะใช้สำหรับการตรวจสอบความถูกต้อง


6

หากต้องการดูรายละเอียดที่ไม่ต้องการ: การเข้ารหัสเกิดขึ้นที่ชั้นการขนส่งและด้านบนเพื่อเหตุผลที่คุณกังวลอย่างแม่นยำ เลเยอร์การขนส่งเป็นสิ่งที่อยู่เหนือ IP และรูปแบบการกำหนดแอดเดรสอื่น ๆ ในทันที ซึ่งหมายความว่าข้อมูลที่จำเป็นสำหรับโปรโตคอลเหล่านี้ไม่ได้ถูกเข้ารหัสเพราะข้อมูลเป็นของเลเยอร์ที่ต่ำกว่า

ตัวอย่างเช่น TLS และ SSL รุ่นก่อนเข้ารหัสที่ชั้นการขนส่ง ซึ่งหมายความว่าข้อมูลเดียวที่ไม่ได้เข้ารหัสคือส่วนหัวของ IP

ในขณะเดียวกันเมื่อคุณเลือกที่จะเข้ารหัสอีเมลในโปรแกรมอีเมลที่คุณชื่นชอบมันจะเข้ารหัสข้อความอีเมลจริงเท่านั้นในขณะที่ส่วนหัว IP, TCP และ SMTP จะไม่ถูกเข้ารหัสทั้งหมด ในทางกลับกันข้อความนี้อาจถูกส่งผ่านการเชื่อมต่อ TLS TLS จะเข้ารหัสส่วน TCP และ SMTP เข้ารหัสข้อความอย่างมีประสิทธิภาพสองครั้ง ส่วนหัวของ IP ที่ไม่ได้เข้ารหัสจะเพียงพอที่จะรับจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์อีเมล เซิร์ฟเวอร์อีเมลจะถอดรหัส TLS เพื่อให้เห็นว่านี่เป็นข้อความ TCP SMTP จากนั้นจะมอบให้กับโปรแกรม SMTP ซึ่งจะสามารถส่งไปยังกล่องจดหมายเข้าที่ถูกต้อง เมื่อมีผู้อ่านอีเมลของผู้ใช้จะมีข้อมูลที่จำเป็นในการถอดรหัสเนื้อหาของข้อความ


แพคเกจอีเมลจะไม่ถูกเข้ารหัสตรงไหน? ดูเหมือนกับฉันว่าถ้า IP เลเยอร์เท่านั้นไม่มีการเข้ารหัสจากนั้นเมื่อเข้าสู่เครือข่ายภายในที่อีเมลถูกกำหนดไว้จะไม่สามารถส่งผ่านอะไรได้นอกจากเราเตอร์เกตเวย์เริ่มต้นหรือไม่ (ในขณะที่ทำให้เห็นได้ชัดผมชนิดของ Noob ในนี้และเห็นได้ชัดว่าฉันเดาไม่เป็นความจริงผมไม่แน่ใจว่าทำไม แต่)
Dmatig

ฉันแก้ไขคำตอบของฉันด้านบนเพื่อชี้แจง แจ้งให้เราทราบหากช่วยได้
jdmichal

5

หมายเลข 4 เป็นจริง เมื่อส่งแพ็กเก็ตที่เข้ารหัสแล้วข้อมูลจะถูกเข้ารหัสไม่ใช่ที่อยู่ต้นทางและปลายทาง

ดูที่แพ็คเก็ตล็อกอิน SSH นี้:

ข้อความแสดงแทน

มันจะแสดงเป็นแพ็คเก็ตคำขอเข้ารหัส อย่างที่คุณเห็นรายละเอียดแหล่งที่มาและปลายทางจะมองเห็นได้


คุณช่วยดูคำถามของฉันในการตอบสนองของ jdmichal ได้ไหม? ฉันสงสัยเกี่ยวกับเรื่องนี้เช่นกัน - จำเป็นต้องใช้ที่อยู่ MAC สำหรับการสำรวจภายในเครือข่ายทั้งหมดนี้จัดการที่ระดับเราเตอร์เกตเวย์เริ่มต้นหรือไม่ ถ้าเป็นเช่นนั้นแพ็กเก็ตจะแยกความแตกต่างระหว่างเราเตอร์นั้นกับ hop อื่น ๆ ทุกครั้งอย่างไร
Dmatig

2

WEP และ WPA เป็นแท็กสำหรับคำถามซึ่งมีไว้สำหรับเครือข่ายไร้สาย โปรโตคอลเหล่านี้จัดการการเข้ารหัสสำหรับเลเยอร์เครือข่าย แต่ใช้เพื่อป้องกันไม่ให้ผู้คนในเครือข่ายไม่สามารถดูว่าเครือข่ายกำลังส่งอะไร

ทุกโหนดในเครือข่ายไร้สายจะต้องรู้รหัสการเข้ารหัสเพื่อให้เราเตอร์ของเครือข่ายสามารถถอดรหัสการรับส่งข้อมูลทั้งหมดได้ ฉันเชื่อว่านี่เป็นนัยที่โหนดใด ๆ ที่เชื่อมต่อกับเครือข่ายไร้สายที่เข้ารหัสสามารถดักฟังการรับส่งข้อมูลทั้งหมดในเครือข่ายนั้น

ดังนั้น WEP และ WPA จึงไม่ป้องกันผู้ใช้ที่เป็นอันตรายซึ่งอยู่ในเครือข่ายเดียวกับคุณ คุณยังต้องใช้การเข้ารหัสเลเยอร์อื่น ๆ เพื่อซ่อนการรับส่งข้อมูลของคุณ

แก้ไข:

หลังจากอ่านบน802.11i (aka WEP2) ฉันเห็นว่ามันใช้คีย์แยกต่างหากสำหรับการออกอากาศและแพ็คเก็ตแบบหลายผู้รับ (Group Temporal Key) การรับส่งข้อมูลแบบ Unicast จะถูกเข้ารหัสโดยใช้ Pairwise Transient Key ซึ่งเป็นกุญแจที่ใช้สำหรับการรับส่งข้อมูลระหว่างสถานีฐานและอุปกรณ์ไร้สายหนึ่งตัว WEP ยังทำงานด้วยวิธีนี้ ซึ่งหมายความว่าอุปกรณ์ไร้สายสองตัวไม่สามารถอ่านปริมาณข้อมูลของกันและกันได้เนื่องจากไม่ได้แชร์คีย์เดียวกัน

ฉันเชื่อว่า WEP ใช้คีย์ที่แชร์หนึ่งอันสำหรับโหนดทั้งหมด

ในกรณีใด ๆ สภาพแวดล้อมขององค์กรมักจะใช้เทคโนโลยี VPN ที่ด้านบนของลิงค์ไร้สาย การเข้ารหัสชั้นที่เพิ่มเข้ามานี้ให้ความปลอดภัยจากอุปกรณ์ไร้สายไปจนถึงเซิร์ฟเวอร์ VPN แม้ว่าเครือข่ายไร้สายจะถูกดมกลิ่นแพ็คเก็ต VPN จะยังคงถูกเข้ารหัส


อืมม ฉันจริงๆผลักดันขอบเขตของสิ่งที่เป็น "คำถามเดียว" ที่ถูกต้องตามกฎหมายใน SU ตอนนี้ ... แต่ ช่วยบอกว่าฉันมีเครือข่ายภายในทั้งหมด IT ใช้ ISR (Intergrated Services Router) เป็นจุดศูนย์กลาง (แทนที่ฮับ / สวิตช์ / ฯลฯ ) ฉันรู้ว่าเราเตอร์ให้การเข้ารหัส นั่นให้การเข้ารหัสสำหรับทราฟฟิกภายนอกหรือไม่ ขอบคุณ
Dmatig

ฉันไม่เข้าใจคำถาม. ฉันไม่ได้ขึ้นอยู่กับศัพท์แสงทางการตลาดของฉัน :) ฉันจะเดาว่ามันมีเครือข่ายที่ไม่ได้เข้ารหัสปกติด้านในและลิงค์ VPN ที่ด้านนอก? ถ้าเป็นเช่นนั้นคำตอบคือใช่
Kevin Panko

นั่นไม่ใช่ปัญหาที่เควิน ตอนนี้ฉันผ่านหลักสูตรไปได้ครึ่งทางแล้วและคำถามของฉันก็ออกนอกกรอบไปแล้ว ฉันจะทำให้เรียบง่ายที่สุดเท่าที่จะทำได้ ให้บอกว่าคุณมีเราเตอร์ "linksys" เชื่อมต่อกับโมเด็ม ISP ของคุณ ฉันอยู่ในสหราชอาณาจักรฉันเดาว่ามันจะทำงานได้คล้ายกับ ISP ในประเทศของคุณ) ในอีกด้านหนึ่งคุณมีลูกค้าจำนวนมาก (สมมติว่า 5 หรือไม่) คุณตั้งค่าการเชื่อมต่อไร้สายโดยใช้การเข้ารหัสบางอย่าง (ฉัน deliberetely เป็น vauge หากคุณไม่ต้องการความคิดที่เฉพาะเจาะจงมากขึ้นช่วยให้พูดอะไรบางอย่าง mordern เช่น WPA -. ฉันแค่ครับมองหาแนวคิดทางทฤษฎีไม่ได้ตัวอย่างที่เกิดขึ้นจริง.
Dmatig

ฉันถึงขีด จำกัด ถ่าน ^ ดังนั้นฉันจึงรวบรวมว่าเราเตอร์ linksys จะถอดรหัสข้อมูลและดังนั้นเครือข่ายภายในทั้งหมดของฉัน (ทุกอย่างที่อยู่หลังมาตรฐานของเราเตอร์เราเตอร์เครือข่ายในบ้านของ linksys) จะมีอิสระที่จะอ่านทุกอย่างที่อยู่ใน ฉันสับสนเล็กน้อยเกี่ยวกับความปลอดภัยในสภาพแวดล้อมขององค์กร ลิงค์ภายนอกยินดีต้อนรับ
Dmatig

1
เราเตอร์ในบ้าน Linksys คือสวิตช์เครือข่ายเราเตอร์ที่มีฟังก์ชัน NAT และจุดเชื่อมต่อไร้สายทั้งหมดนี้อยู่ในกล่องเล็ก ๆ เดียวกัน หน้าที่ของสวิตช์เครือข่ายคือการส่งเฟรม Ethernet ไปยังจุดหมายปลายทางตามที่อยู่ MAC วิธีนี้จะป้องกันไม่ให้อุปกรณ์เครือข่ายแบบใช้สายเห็นการรับส่งข้อมูลที่ไม่ได้ส่งไปถึง แน่นอนเฟรมออกอากาศจะถูกส่งไปยังทุกอุปกรณ์ นอกจากนี้เฟรมที่จ่าหน้าถึงที่อยู่ MAC ที่สวิตช์ไม่รู้จัก (ไม่เคยเห็นมาก่อนว่า MAC) จะถูกส่งไปยังทุกอุปกรณ์
Kevin Panko
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.